| 发明名称 | 点对点模式下单点登录方法 | ||
| 摘要 | 本发明涉及一种点对点模式下单点登录方法,与现有的基于客户服务器模式的单点登录方法不同,该方法实现以用户证书有效期管理用户单点登录生命周期,用户单次认证多次登录,该方法完成应用系统和身份认证服务器的相互认证,初始化通信双方的共享密钥,建立客户和应用系统之间的安全通道。通过身份认证服务器和应用系统间的相互认证,使得任何一个应用系统都可以独立进行身份认证,弱化身份认证服务器的地位,避免传统客户/服务器模式单点故障的弱点,具有系统运行成本低、效率高、安全性能好的特点。 | ||
| 申请公布号 | CN101286843B | 申请公布日期 | 2010.08.18 |
| 申请号 | CN200810106892.8 | 申请日期 | 2008.06.03 |
| 申请人 | 江西省电力信息通讯有限公司 | 发明人 | 马勇;梁文 |
| 分类号 | H04L9/30(2006.01)I;H04L9/32(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L9/30(2006.01)I |
| 代理机构 | 江西省专利事务所 36100 | 代理人 | 黄新平 |
| 主权项 | 一种点对点模式下单点登录方法,涉及客户(Client)、身份认证服务器(Server)、门户(Portal)和应用系统(Application)四个组件间的交互,其特征在于:它包括以下步骤:步骤a,客户使用身份认证服务器的公钥加密客户的身份标识、客户名、密码、应用系统标识和随机数,然后将加密后的消息发送给身份认证服务器;步骤b,身份认证服务器使用自己的私钥对收到的消息进行解密,得到客户身份标识、客户名、密码、应用系统标识和随机数,如果客户访问门户系统,身份认证服务器使用客户的公钥对客户身份标识和随机数进行加密;使用门户的公钥对门户标识、门户颁发给客户的证书和随机数进行加密;使用应用系统的公钥对应用系统标识、应用系统颁发给客户的证书和随机数进行加密,然后把这些加密后的消息串接后返回给客户;步骤c,客户用门户公钥对客户身份标识、会话密钥、随机数进行加密,将加密后的信息、门户颁发的客户证书和应用系统颁发的客户证书发送给门户;步骤d,门户使用私钥对客户传送的消息解密,判断门户颁发的客户证书的有效性,使用应用系统的公钥对门户标识、门户和应用系统之间的会话密钥、随机数以及应用系统颁发的客户证书进行加密后发送给应用系统;步骤e,应用系统使用门户的公钥对应用系统标识和随机数加密后发送给门户,实现门户对应用系统的验证;步骤f,门户使用客户的公钥对门户标识和随机数加密后发送给客户,实现客户对门户的验证;步骤g,应用系统使用身份认证服务器的公钥将应用系统标识和随机数发送给身份认证服务器,身份认证服务器收到消息后进行解密,判断解密后的随机数是否和步骤b中的随机数相同,以此来验证应用系统的合法性;步骤h,身份认证服务器使用应用系统的公钥将身份认证服务器的标识和随机数加密后发送给应用系统,应用系统收到消息后进行解密,判断解密后的随机数是否和步骤g中的随机数相同,以此来验证身份认证服务器的合法性。 | ||
| 地址 | 330077 江西省南昌市湖滨东路66号 | ||